云计算的虚拟化安全问题
DOIT云计算 12年08月21日 10:51 【来稿】 作者:Andy_文希 责任编辑:张文希
2.2虚拟化安全分层分析
目前对虚拟化安全的研究综合起来可以归结为两个方面:一个是虚拟化软件的安全;另一个是虚拟服务器的安全。
(1)虚拟化软件的安全
该软件层直接部署于裸机之上,提供能够创建、运行和销毁虚拟服务器的能力。主机层的虚拟化能通过任何虚拟化模式完成,包括操作系统级虚拟化(Solaris container、BSDiail、Linax.Vserver)、半虚拟化(硬件和Xen、VMware的结合)或基于硬件的虚拟化(Xen、VMwaxe、Microsoft Hyper-V)。
这一层的特点是虚拟机的安全。其中Hypervisor作为虚拟机的核心。要确保安全。目前有两种攻击方式,一是恶意代码通过应用程序接口(API)攻击,因虚拟机通过调用AP!向Hypervisor发出请求。Hypervisor要确保虚拟机只会发出经过认证和授权的请求。二是通过网络对Hypervisor进行攻击。通常,Hypervisor所使用的网络接口设备也是虚拟机所使用的。如果网络配置得不是很严格,这意味着虚拟机可以连接到Hypervisor的IP地址,并且可以在Hypervisor的登录密码没有使用强密码保护的情况下入侵到Hypervisor。这种不严格的网络配置还可能导致对Hypervisor的DoS攻击。使得外网无法链接到Hypervisor去关闭这些有问题的虚拟机。
(2)虚拟服务器的安全
虚拟服务器位于虚拟化软件之上。服务器的虚拟化相对于之前的服务器,变化最大的一点是网络架构。网络架构的改变相应地产生了许多安全问题。采用虚拟化技术前,用户可以在防火墙设备商建立多个隔离区。对不同服务器采用不同的规则进行管理。由于隔离区的存在。对一个服务器的攻击不会扩散到其他服务器。采用虚拟服务器后。所有的虚拟机会集中连接到同一台虚拟交换机与外部网络通信,会造成安全问题的扩散。服务器虚拟化后。每一台服务器都将支持若干个资源密集型的应用程序。可能出现负载过重。甚至会出现物理服务器崩溃的状况。在管理程序设计过程中的安全隐患会传染到同台物理主机上的虚拟机。造成虚拟机溢出,此时的虚拟机从管理程序脱离出来,黑客可能进入虚拟机管理程序,能够避开虚拟机安全保护系统。对虚拟机进行危害。
另外。虚拟机迁移以及虚拟机问的通信将会大大增加服务器遭受渗透攻击的机会。虚拟服务器或客户端面临着许多主机安全威胁。包括接人和管理主机的密钥被盗,攻击来打补丁的主机。在脆弱的服务标准端口侦听,劫持未采取合适安全措施的账户等。面对以上不安全因素,目前研究发现。可以采取以下措施:
·针对网络架构的变化,在每台虚拟机上都安装防毒软件或者其他种类的杀毒软件;
·避免服务器过载崩溃,要不断监视服务器的硬件利用率,并进行容量分析,使用容错服务器或容错软件是一个好的选择;
·为阻止虚拟机溢出。在数据库和应用层问设置防火墙,通过隔离虚拟机实现从网络上脱机保存虚拟化环境;
·选择具有可信平台模块(trusted platform module,TPM)的虚拟服务器:
·安装时为每台虚拟服务器分配一个独立的硬盘分区。以便进行逻辑隔离;
·每台虚拟服务器应通过VLAN和不同的IP地址网段的方式进行逻辑隔离。需要通信的虚拟服务器间通过VPN进行网络连接:
·进行有计划的备份,包括完整、增量或差量备份方式,进行虚拟化的灾难恢复。
3、基于Xen平台安全问题分析
为了研究方便。笔者选择Xen搭建云计算平台。分析Xen是怎样解决虚拟化安全问题的。并认识Xen未解决的问题,从而对云计算虚拟化的安全问题有更深一步的认识。
3.1 Xen概述及其与VMware的比较
Xen是一种基于虚拟机炼控器Xen Hypervisor的虚拟机体系结构。由剑桥大学开发。Xen Hypervisor作为虚拟机临控器直接运行在硬件上,提供虚拟化环境。同时,在Xen Hypervisor上运行一个具有管理接口(administrativeconsole)的虚拟机(Domain 0)作为Xen Hypervisor的扩展。管理Xen hypervisor和其他虚拟机实例(Domain U)。
跟Xen比较起来。VMware是完全仿真计算机,理论上操作系统可不需更改就直接存虚拟机器上执行,但是VMware不够灵活。通常Xen采用半虚拟化技术,虽然操作系统必须进行显式地修改(“移植”)以在Xen上运行,但是提供给用户应用的兼容性强。这使得Xen无需特殊硬件支持,就能达到高性能的虚拟化。文献表明。肖用Linux自带的网络服务测试工具测试VMware和Xen的虚拟网络性能时,随着请求文件长度的变大。每秒钟处理的请求数均降低。Xen的虚拟网络性能与真实主机接近,而比VMware虚拟网络的性能好。目前,Intel等公司的努力使Xen已经支持完全虚拟化。更重要的是。Xen是开源的,因此选用Xen搭建云计算环境是一个不错的选择。